Slowmist: Chỉ một dòng mã bị thiếu đã khiến DIP Token mất $111,000

Một giao dịch được thực hiện hai lần

Slowmist đã cảnh báo về sự cố này trong một thông báo tình báo về mối đe dọa, ước tính số tiền bị mất là 111.097,6 USDC. Công ty cho biết hàm "_transfer()" của token DIP thiếu câu lệnh "return" trong nhánh xử lý các giao dịch được định tuyến qua bộ định tuyến Pancakeswap (một dịch vụ mà các sàn giao dịch phi tập trung sử dụng để hoán đổi token với các bể thanh khoản). Nhóm nghiên cứu cũng bổ sung:

"Kẻ tấn công đã khai thác lỗ hổng này bằng cách gọi `skim(router)` để kích hoạt các giao dịch chuyển DIP hai lần, sau đó gọi `sync()` để đặt dự trữ DIP xuống mức cực thấp, từ đó thao túng giá AMM nhằm rút cạn bể thanh khoản."

Mặc dù đã phân tích chi tiết, Slowmist không nêu tên kẻ tấn công cũng như không cho biết liệu số tiền bị đánh cắp có thể được thu hồi trong thời gian sớm hay không.

Cơ chế của toàn bộ vụ việc dường như khá đơn giản, bởi các sàn giao dịch phi tập trung như Pancakeswap đều dựa vào các hợp đồng router tự động để chuyển token giữa người giao dịch và các bể thanh khoản. Một token có thể tự do thêm logic tùy chỉnh vào hàm chuyển nhượng của chính nó, nhưng khi logic đó xử lý sai các tương tác với router, cánh cửa sẽ mở ra cho các khoản thanh toán lặp đi lặp lại và không mong muốn.

Trong trường hợp của DIP, việc thiếu từ "return" đã khiến đoạn mã lẽ ra phải dừng lại sau một lần chuyển nhượng lại tiếp tục chạy và thực thi lần thứ hai. Mỗi giao dịch đi qua bộ định tuyến thực chất đã bị thanh toán hai lần, khiến USDC từ từ bị rút khỏi bể thanh khoản.

Lỗi này không cần đến khoản vay flash, thủ thuật oracle hay khóa bị đánh cắp để hoạt động (chỉ cần một lỗ hổng trong chính mã nguồn của token). Các token nhận biết bộ định tuyến và tính phí khi chuyển nhượng như vậy rất phổ biến trên các chuỗi liên kết với Binance, nơi các dự án thường bổ sung các hành vi bổ sung vào các mẫu token tiêu chuẩn. Mỗi nhánh được thêm vào là một nơi khác để sai sót ẩn náu, và các giao dịch hoán đổi tự động có thể kích hoạt sai sót đó hàng nghìn lần trước khi ai đó phát hiện ra.

Một phần của năm 2026 đầy tổn thất đối với DeFi

Mức thiệt hại từ vụ DIP tuy nhỏ so với các vụ vi phạm nổi bật khác trong năm, nhưng nó nằm trong chuỗi các sự cố liên tục ở cấp độ mã nguồn. Chỉ riêng cơ sở dữ liệu hack công khai của Slowmist đã ghi nhận hơn 2.150 sự cố và tổng thiệt hại lên tới khoảng 37,8 tỷ USD. Trong những ngày gần đây, công cụ theo dõi này đã ghi nhận khoản lỗ 105.000 USD tại Thetanuts Finance và vụ khai thác Aztec Connect trị giá 2,1 triệu USD.

Cụ thể hơn, có thể thấy rằng các lỗi trong hợp đồng thông minh đã gây ra phần lớn thiệt hại trong năm nay, với các giao thức DeFi đã mất hơn 1 tỷ USD do các vụ hack và khai thác lỗ hổng (tính đến tháng trước). Chính Slowmist đã truy vết vụ rút tiền từ Aztec Connect đến một hợp đồng đã bị loại bỏ và xác định vụ trộm $174.570 tại Grok-Bankr là do một tác nhân trí tuệ nhân tạo (AI) bị lừa để phê duyệt giao dịch chuyển tiền.

Cuối cùng, Bitcoin.com News đã đưa tin hồi đầu năm rằng Zetachain đã tạm dừng mạng chính (mainnet) sau khi Slowmist phát hiện ra một lỗ hổng kiểm soát truy cập trong hợp đồng GatewayZEVM của họ, một trường hợp khác cho thấy chỉ một lỗ hổng logic cũng đủ để tạo cơ hội cho kẻ tấn công.

Với việc chưa có thông tin xác nhận về việc khôi phục và kẻ tấn công vẫn chưa được xác định, vụ việc DIP này một lần nữa khẳng định bài học lặp đi lặp lại rằng chỉ một dòng mã thiếu sót cũng đủ để làm cạn kiệt một pool, và các cuộc kiểm toán độc lập vẫn là tuyến phòng thủ chính khi các khoản lỗ trong lĩnh vực DeFi ngày càng gia tăng.